IP restrict SSH

Først og fremmest vil jeg anbefale at du dels blokerer root i at logge på via SSH, og dels kun tillader udvalgte brugere at logge på via SSH.
Hvis du så er lidt mere paranoid, kan du vælge at der kun kan logges på via nøgler (f.eks. på 2048 bit), og dermed forhindre at folk kan logge på med password, selvom de kender de brugernavn (og evt. password).

Du bruger tcp_wrapper - som baserer sig på /etc/hosts.allow og /etc/hosts.deny

Generelt set øger du sikkerheden på alt (kan du gøre), men den simple udgave:

/etc/hosts.allow:
sshd:  ip1 ip2 ip3

/etc/hosts.deny:
sshd:  ALL

Herefter vil al sshd-trafik blive kontrolleret imod filerne. Det kræver naturligvis, at sshd er kompileret med tcp_wrapper, men det er den såvidt jeg ved default.

lap -> Det er faktisk en løsning og den virker tilsyneladende nu.

Jeg har modtaget en mail fra en god ven som lige ville kigge på det, at da han lavede en newline efter den sidste konfigurationslinie i filerne så virkede det.

Jeg vil mene, at fsconsult.dk's forslag er heller ikke helt skidt, men at slæbe rundt på nøglerne kan være lidt besværligt.

Det kræver at man har en diskette med med sine nøgler.. :-)

Jeg har dog en diskette med både SSH program og nøgler, da det alligevel er de færreste windoze maskiner der har SSH installeret ..
Men ja, det er lidt besværligt .. men sikkerhed er som bekendt sjældendt brugervenligt ..

Generelt bør man ikke tillade at root logger direkte på via SSH, hvilket blokeres ved flg. i /etc/ssh/sshd_config:

PermitRootLogin no

Man så kan yderlige begrænse hvilke brugere der har adgang til SSH med:

AllowUsers bruger1 bruger2 bruger3 osv

Endvidere var der så muligheden for at blokere for brug af password ved logon, og dermed kræver at der benyttes nøgler:

PasswordAuthentication no

Sammen med hosts.allow/hosts.deny kan man så vælge hvor meget sikkerhed man vil have, og hvor besværligt man vil gøre det for sig selv og andre :-)

Det lyder godt, jeg takker.